浏览人次: 30

禁止使用及采购「大陆厂牌资通讯产品」相关规定

危害国家资通安全产品限制使用原则

 

一、依据 行政院秘书长109年12月18日院台护长字第1090201804A号函 规定,禁止使用及采购大陆厂牌资通讯产品(含软件、硬件及服务)。

二、依据 行政院112年6月20日院授数资安字第1121000202号函 及 行政院113年12月31日院授数资安字第1131000727号函 说明,重申各公务机关使用资通讯产品原则:

(一)若因业务需求且无其他替代方案,仍需使用危害国家资通安全产品时,应具体叙明理由,并经机关资通安全长及其上级机关资通安全长逐级核可,函报资通安全管理法主管机关(数码发展部)核定

(二)就各机关所盘点之危害国家资通安全产品,相关因应措施摘要如下:

  • 行政院于110年5月5日中央及地方政府资通安全长暨行政院国家资通安全会报第37次委员会已向各机关宣达,针对未达使用年限之财物如须报废时,于相关文件中注明报废原因,可专案报废处理。
  • 于汰换前则应有适当之配套措施或相应作为:
  1. 停用(封存)。
  2. 使用但不与公务网络介接,或拟订其他适当配套管制措施。
  3. 将使用情形列入年度稽核时之检视项目。
  4. 产品使用届期后不得再购买危害国家资通安全产品。

(三)办理采购案时,得依个案特性及实际需要于采购文件中循以下方式办理

  1. 参考行政院公共工程委员会(下称工程会)采购范本投标须知范本第16点,厂商所供应标的(含工程、财物及劳务)之原产地不允许大陆地区,以及资讯服务采购契约范本第8条第24款,如采购案内涉资通讯软件、硬件或服务等相关事务,机关可要求厂商执行本案之团队成员不得为陆籍人士,并不得提供及使用大陆厂牌资通讯产品。
  2. 倘涉云端服务者,可另参考工程会资讯云端服务采购契约范本第17条,厂商履约有下列情形之一者,机关得以书面通知厂商终止契约或解除契约之部分或全部,且不补偿厂商因此所生之损失:16.经查厂商提供大陆厂牌、 资通讯产品(含硬件、软件及服务)、云端服务之所属 一切资料存取、备份及备援之实体所在地位于大陆地区 (含香港、澳门),或跨该等境内传输相关资料。
  3. 自行或委外营运,提供公众活动或使用之场地,不得使用危害国家资通安全产品,且应将相关限制式样纳入委外契约或场地使用规定中,以避免后续履约争议,并将契约订定相关文字列入年度稽核时之检视项目。
  4. 依工程会113年8月13日工程企字第11300155871号函,机关办理采购涉及物联网设备技术规格之订定,请各机关于采购物联网设备时依该函说明事项办理。
  5. 可参考数码发展部数码产业署之能量登录机制资讯,拣择适当之标的、厂商或于契约中载明须提出相关能量登录证书等。

 

三、请各单位于办理采购时,务必依「大陆厂牌资通讯产品及委外经营公众场域盘点原则」查证,勿采购大陆厂牌资通讯产品。

四、建议多利用共同供应契约采购相关设备,避免采购大陆厂牌资通讯产品。

 

常见大陆厂牌

行政院未提供相关设备清单(详如下方常见问答),以下厂牌仅供参考,包括但不限于:

杭州海康威视(Hikvision)、华为(Huawei)、深圳大疆创新科技公司(DJI)、普联技术公司(TP-Link)、广东欧加控股公司/广东行动通讯公司(OPPO)、小米集团(MI)、浙江大华技术公司(Dahua)等。

「陆资厂商」是否禁止使用?

依据行政院秘书长110年8月11日院台护长字第1100181360A号函说明,第三地区含陆资成分厂商及在台陆资厂商,原则不列入盘点及汰换范围;惟请各机关于办理采购案时,如属经济部投资审议委员会公告之「具敏感性或国安(含资安)疑虑之业务范畴」,应确实于招标文件中载明不允许经济部投资审议委员会公告之陆资资讯服务业者参与。

 

大陆厂牌资通讯产品盘点原则

一、盘点范围:全机关,非仅机关内部资讯单位或特定单位。

二、「大陆厂牌认定方式」及「资通讯产品定义」:

  1. 大陆厂牌认定方式:由填报机关「从严认定」,所有属大陆厂牌者,无论其原产地于我国、大陆地区或第三地区等,渠等产品均须纳入。
  2. 资通讯产品定义:参考资通安全管理法第3条用词定义,包含软件、硬件及服务等,另具连网能力、资料处理或控制功能者皆属广义之资通讯产品,如无人机、网络摄影机、打印机等
  3. 各机关若无法于期限内完成汰换或有窒碍难行之处,须填报正当理由,后续由资通安全署协助评估其妥适性或其他可行作法。

三、盘点标的参考原则:

盘点对象

盘点范围

盘点标的

判断是否纳入盘点及汰换作业

公务机关、委外厂商
(含分包厂商)

硬件

  • 无论是否具有连网能力、资料处理或控制功能之资通讯设备皆属盘点及汰换范围。

  • 如:个人电脑、服务器、无人机、打印机、网络通讯设备、可携式设备及物联网设备等。
  1. 如硬件设备系透过共同供应契约采购者,原则不列入盘点及汰换范围。
  2. 办理采购:
    1. 请原厂/代理商提供厂牌证明文件。
    2. 透过网络或相关可行管道查证其是否为大陆厂牌。

软件及服务
  • 非客制化软件/系统:如原厂(官方)提供之套装软件、开发工具或作业系统等。
  • 客制化软件/系统:如自行或委外开发之应用软件、系统软件或APP等。
  • 人力资源
  • 网站及APP所提供的服务
  • 云端服务
  • 电话谘询
  • 其他类型服务
  1. 自行下载:
    应确保软件或元件确实由原厂(官方)网站下载,如原厂(官方)为大陆厂牌者,应纳入盘点及汰换。
  2. 自行开发:
    应确保开发环境、工具及套件等系由原厂(官方)网站下载,或是透过采购取得,并分别依第一项及第三项办理盘点及汰换作业。
  3. 办理采购:
    1. 透过共同供应契约采购者,原则无须盘点及汰换。
    2. 机关自行办理采购非客制化软件/系统者,请原厂/代理商提供厂牌证明文件。
  4. 委外开发:
    1. 如使用原厂(官方)网站下载之软件或元件,请委外厂商办理前揭第一项作业,并提供说明及切结文件。
    2. 如使用非客制化软件/系统者,委外厂商应提供原厂/代理商之厂牌证明文件。

限制对外出租场域使用大陆厂牌资通讯产品

一、于学校 委外契约 或 场地租借使用规定,应明订不得使用大陆厂牌资通讯产品。

二、针对现有委外契约,应协调厂商配合办理或修正契约规定。

厂商切结书

机关对于可能选任之受讬者及其所供应之财物 (软件设备) 或劳务之资料存取、储存、备份及备援等作业,其实体设备所在地及资料传输是否跨境等相关议题,得要求其以书面方式揭露,并纳入选任评估参考 。

 

常见问题

Q:有关「限制使用危害国家资通安全产品」是否会提供相关清单?此外,在未公布清单前是否有相关参考作法 ?

A:

一、考量危害国家资通安全产品由主管机关核定厂商清单效益有限,后续将由主管机关透过跨部会协调平台与各机关沟通,推动危害国家资通安全产品之限制使用事宜 。

二、现阶段系请各公务机关依本院秘书长109年12月18日院台护长字第1090201804A号函,禁止使用及采购大陆厂牌资通讯产品(含软件、硬件及服务),其相关注意事项如下:

  1. 大陆厂牌:指本院公共工程委员会 107年 12月 20日工程企字第 1070050131号函所称「大陆地区厂商」,至于「第三地区含陆资成分厂商」及「在台陆资厂商」原则非属上述范围,惟各机关于办理采购案时,如属经济部投资审议委员会公告「具敏感性或国安含资安疑虑之业务范畴」,应确实于招标文件中载明不允许经济部投资审议委员会公告之陆资资讯服务业者参与。
  2. 陆籍人士:指委外厂商执行标案之团队成员,其现行国籍不得为中国大陆国籍 。另,针对多重国籍部分,如其一国籍属中国大陆国籍亦属限制范围 ;此外,针对香港国籍及澳门国籍人士非属上述限制范围 。
  3. 考量实务执行问题,现行仅限制其最终资通讯产品不可为大陆厂牌,暂未限制大陆厂牌零组件
  4. 各机关办理资通讯相关采购,得依个案特性及实际需要于采购文件中评估限制委外厂商及其分包厂商不得提供大陆地区厂商所生产或制造零组件。

 

参考资料

各机关对危害国家资通安全产品限制使用原则

大陆厂牌资通讯产品及委外经营公众场域盘点原则

行政院数码发展部资通安全署-常见问题